作者 | 网络安全应急技术国家工程研究中心
张奕欣 王磊 王秀文 曾宣玮
一、政策研究
====================
1.商务部等九部门:安全合规前提下,允许跨境电商、跨境支付等应用场景数据有序自由流动
2024年6月8日,商务部、国家发展改革委、财政部、交通运输部、中国人民银行、海关总署、税务总局、金融监管总局、国家网信办等9部委联合发布《关于拓展跨境电商出口推进海外仓建设的意见》(以下简称《意见》)。《意见》强调,提升跨境数据管理和服务水平。在符合法律法规要求、确保安全的前提下,促进和规范数据跨境流动,允许跨境电商、跨境支付等应用场景数据有序自由流动。鼓励跨境电商、海外仓企业依法依规利用数据赋能产业链上下游,增强生产企业柔性化供应能力。同时推动跨境电商供应链降本增效。推动头部跨境电商企业加强信息共享,鼓励金融机构充分利用企业相关信息,依法依规开展供应链金融服务,更好赋能上下游产业链发展。鼓励有实力的跨境电商企业在遵守国内外法律法规前提下,积极应用大数据分析、云计算、人工智能等新技术新工具,提高数据分析、研发设计、营销服务、供需对接等效率。
https://ydyl.cctv.com/2024/06/12/ARTIu0OupnvbKSqmidQEWbT3240612.shtml
2.中德双方共同签署《关于中德数据跨境流动合作的谅解备忘录》
2024年6月26日,中国国家互联网信息办公室主任庄荣文在京会见德国数字化和交通部部长维辛一行,双方共同签署《关于中德数据跨境流动合作的谅解备忘录》。庄荣文表示,今年4月,习近平主席与到访的朔尔茨总理深入交流,为双边关系和各领域务实合作指明了方向、作出了规划。中方愿同德方一道,落实好两国领导人合作共识,以签署《关于中德数据跨境流动合作的谅解备忘录》为契机,推进中德网络空间交流合作取得更多成果。维辛表示,德方高度重视数据跨境流动、人工智能等领域工作,将与中方进一步加强交流合作,积极推动落实《关于中德数据跨境流动合作的谅解备忘录》。中国国家互联网信息办公室将与德国数字化和交通部在《关于中德数据跨境流动合作的谅解备忘录》框架下,建立“中德数据政策法规交流”对话机制,加强在数据跨境流动议题上的交流,为两国企业营造公平、公正、非歧视的营商环境。https://www.cac.gov.cn/2024-06/26/c\_1721081180089753.htm
3.欧洲数据保护委员会发布执法指令指南最终版本
2024年6月19日,欧洲数据保护委员会(EDPB)发布了关于《执法指令》第37条的准则01/2023的最终版本,该指南明确了适用于遵循该条款的主管当局的法律标准,旨在确保适当保障措施的实施,并阐明了EDPB对会员国在与第三国和国际组织签订具有法律约束力的文件方面的期望。欧洲数据保护委员会指出,《执法指令》第35条第3款适用于根据《执法指令》第37条进行的数据传输。根据欧盟的数据保护法规,当数据需要从欧盟传输到其他司法管辖区时,必须确保接收国的数据保护标准不得低于欧盟现行的标准,此时应适用《执法指令》第37条的规定。欧洲数据保护委员会明确指出,根据《执法指令》第37条规定,任何接收来自欧盟的数据的第三国或国际组织,必须提供与欧盟相等的基本数据保护水平。然而,这一要求是针对具体的数据传输情况或类别而定的。即在特定数据传输场景中,必须确保数据保护措施的实质等效性,而不是要求第三国或国际组织的整体法律体系必须与欧盟完全一致。
https://www.dataguidance.com/news/eu-edpb-publishes-final-version-guidelines-law-0
4.美国《保护美国人数据免受外国对手侵害法案》生效
2024年6月23日,根据众议院第815号决议第一节,《保护美国人的数据免受外国对手侵害法》生效。该法案的核心是禁止任何形式的敏感数据向外国对手国或其控制的实体转移,包括出售、许可、出租、交易、转让、发布、披露、提供访问等行为。该法案将数据经纪人定义为“为了获得价值,向作为非服务提供商的第三方出售、许可、租赁、交易、转让、发布、披露、提供访问或以其他方式提供美国个人的数据的实体,这些数据并非直接从个人那里收集。”该法案还定义了“敏感数据”、“个人身份识别的敏感数据”和“精确的地理位置信息”。
https://www.dataguidance.com/news/usa-protecting-americans-data-foreign-adversaries-act-0
5.葡语数据保护网络(RLPD)启动,促进国际数据跨境传输
2024年6月25日,巴西、葡萄牙、安哥拉、佛得角和圣多美及普林西比的数据保护机构的代表在葡萄牙里斯本举行的会议上签署声明,共同启动了“葡语国家数据保护网络(RLPD)”的创建程序。葡萄牙数据保护委员会(CNPD)成立30周年的活动在该声明发布的同期举行,欧洲数据保护委员会(EDPB)和欧洲数据保护监督局(EDPS)等机构的代表参加了系列活动。葡语数据保护网络(RLPD)的主要目标包括:(1)成立成员之间的合作机制;(2)创建一个关于数据保护的知识交流永久论坛;(3)遵循国际工具,以在尊重基本权利的前提下实现国际数据跨境传输。
https://www.secrss.com/articles/67748
6.欧盟与日本关于跨境数据流动的协议正式生效
2024年7月1日,欧盟委员会宣布,《欧盟-日本关于跨境数据流动的协议》正式生效,该协议同时被纳入《欧盟-日本经济伙伴关系协定》,其条款将促进双方的业务发展,并反映出对数字保护主义的反对信号。该协定中有关数据跨境流动的条款主要为第8.81条——以电子方式进行跨境数据传输。该条强调双方要确保以电子方式进行跨境数据传输,且不能采取禁止或限制缔约双方进行数据跨境的相关措施,大体包括:对计算机设备位置的要求;数据存储或处理本地化;将跨境数据传输与计算机设备、数据本地化要求相联系;数据跨境传输前获得该方的批准等。同时,该条还设置了双方进行数据跨境流动的例外情形——可以为了合法公共政策目的而限制数据的自由跨境流动,不过这种合法公共政策目的应当是“必要的”。
https://policy.trade.ec.europa.eu/news/eu-japan-deal-data-flows-enters-force-2024-07-01\_en
7.法国数据保护局宣布成为数据利他主义的主管机构
2024年6月21日,根据欧洲数据治理法规,法国数据保护局宣布成为数据利他主义主管机构,旨在保护和监管数字空间,在数据方面维护和更新利他组织的国家公共登记册,调查针对利他组织的投诉并对其进行监督,参加欧洲数据创新委员会。数据利他主义是基于数据主体的同意或数据持有人授予的数据使用授权而自愿共享数据,必须服务于普遍关注的目标,例如医疗保健、减缓气候变化、改善公共服务或科学研究。
https://www.cnil.fr/fr/dga-la-cnil-autorite-competente-pour-laltruisme-en-matiere-de-donnees
二、舆情事件
====================
1.无人机违规巡飞拍摄曝露我核心军事设施信息
2024年6月20日,我军事爱好者利用具备远程高清摄像功能的无人机违规巡飞,对涉密要害部位、军事禁区及新型军事装备进行进行飞行测绘,拍摄多角度、高分辨率图片信息,采集、存储相关高精度航拍数据,并将数据上传至网络云盘和微信群进行分享,对我核心军事设施和重要地理信息造成出境泄密隐患。
https://www.163.com/dy/article/J5408VOC0514R9OJ.html?f=relatedArticle
2.美公司因涉嫌违规收集用户数据被韩国罚款
2024年6月13日,韩国通信委员会对188家公司进行罚款,其中美苹果公司因未经用户同意收集位置数据、违反披露位置数据政策条款等行为,被处以2.1亿韩元罚款,美谷歌公司韩国分公司因涉嫌违反披露位置数据政策的条款被处以300万韩元罚款。
https://www.ithome.com/0/775/024.htm
3.美公司通过收集wifi接入点分析敏感位置信息
2024年5月21日,美马里兰大学研究表示依靠美苹果公司公开提供的数据来追踪全球数十亿台设备的位置,用以监视加沙地区破坏,以及俄罗斯和乌克兰军队的行动。美苹果公司和谷歌公司基于自有Wi-Fi定位系统,收集其设备附近所有Wi-Fi接入点的精确位置,并获取硬件标识符和Wi-Fi接入点使用的媒体访问控制地址,同时定期转发更新相关位置信息。这些数据组合使苹果和谷歌设备在不通过GPS定位的情况下,也能够锁定地理位置信息并进行分析。
https://krebsonsecurity.com/2024/05/why-your-wi-fi-router-doubles-as-an-apple-airtag/#more-67551
原文来源:关键基础设施安全应急响应中心
“投稿联系方式:010-82992251 sunzhonghao@cert.org.cn”